[go: up one dir, main page]

JP2023030369A - Authentication device, wireless communication device, wireless communication system, method, and program - Google Patents

Authentication device, wireless communication device, wireless communication system, method, and program Download PDF

Info

Publication number
JP2023030369A
JP2023030369A JP2021135457A JP2021135457A JP2023030369A JP 2023030369 A JP2023030369 A JP 2023030369A JP 2021135457 A JP2021135457 A JP 2021135457A JP 2021135457 A JP2021135457 A JP 2021135457A JP 2023030369 A JP2023030369 A JP 2023030369A
Authority
JP
Japan
Prior art keywords
network slice
wireless communication
secret key
random number
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021135457A
Other languages
Japanese (ja)
Other versions
JP7434225B2 (en
Inventor
竜馬 平野
Tatsuma Hirano
みゆき 小倉
Miyuki Ogura
寿久 鍋谷
Toshihisa Nabeya
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2021135457A priority Critical patent/JP7434225B2/en
Priority to US17/679,869 priority patent/US20230054227A1/en
Publication of JP2023030369A publication Critical patent/JP2023030369A/en
Application granted granted Critical
Publication of JP7434225B2 publication Critical patent/JP7434225B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】ネットワークスライスを適切に運用することが可能な認証装置、無線通信装置、無線通信システム、方法及びプログラムを提供することにある。【解決手段】実施形態に係る認証装置は、保持手段と、通信手段とを具備する。保持手段は、無線通信装置との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を保持する。通信手段は、第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、第2ネットワークスライスを用いて無線通信装置に送信する。第1乱数に基づいて更新された第1秘密鍵は、保持手段に保持され、使用開始タイミングに基づいて、第1ネットワークスライスを用いて実行される基地局と無線通信装置との間の無線通信に使用される。【選択図】図6An object of the present invention is to provide an authentication device, a wireless communication device, a wireless communication system, a method, and a program capable of appropriately operating network slices. According to one embodiment, an authentication device includes holding means and communication means. The holding means holds a private key used for wireless communication performed using each of the plurality of network slices established with the wireless communication device. The communication means transmits a first random number for updating the first secret key used in wireless communication performed using the first network slice and use start timing information regarding the use start timing of the updated first secret key. , to the wireless communication device using the second network slice. The first secret key updated based on the first random number is held in the holding means, and wireless communication between the base station and the wireless communication device is executed using the first network slice based on the use start timing. used for [Selection drawing] Fig. 6

Description

本発明の実施形態は、認証装置、無線通信装置、無線通信システム、方法及びプログラムに関する。 TECHNICAL FIELD Embodiments of the present invention relate to authentication devices, wireless communication devices, wireless communication systems, methods, and programs.

近年では、3GPP(Third Generation Partnership Project)において、5G(第5世代)移動通信システムに関する検討が進められている。 In recent years, 3GPP (Third Generation Partnership Project) has been studying 5G (fifth generation) mobile communication systems.

5G移動通信システムはネットワークを介して様々なものが繋がることを前提としており、当該5G移動通信システムにおいては、高速、多接続及び低遅延等を実現する無線通信を行うことができる。このような5G移動通信システムを利用することにより、幅広いサービスを提供することが期待されている。 The 5G mobile communication system is based on the premise that various things are connected via the network, and in the 5G mobile communication system, wireless communication that realizes high speed, multiple connections, low delay, etc. can be performed. It is expected that a wide range of services will be provided by using such a 5G mobile communication system.

ところで、5G移動通信システムにおいてはネットワークスライスと称される単位に区切って無線通信を行うことができ、当該ネットワークスライスを適切に運用する必要がある。 By the way, in a 5G mobile communication system, wireless communication can be performed by dividing into units called network slices, and it is necessary to appropriately operate the network slices.

国際公開第2018/169071号WO2018/169071

そこで、本発明が解決しようとする課題は、ネットワークスライスを適切に運用することが可能な認証装置、無線通信装置、無線通信システム、方法及びプログラムを提供することにある。 Therefore, the problem to be solved by the present invention is to provide an authentication device, a wireless communication device, a wireless communication system, a method, and a program capable of appropriately operating network slices.

実施形態に係る認証装置は、保持手段と、通信手段とを具備する。前記保持手段は、無線通信装置との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持する。前記通信手段は、前記複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、前記第1ネットワークスライスとは異なる第2ネットワークスライスを用いて前記無線通信装置に送信する。前記第1乱数に基づいて更新された第1秘密鍵は、前記保持手段に保持され、前記使用開始タイミングに基づいて、前記第1ネットワークスライスを用いて実行される基地局と前記無線通信装置との間の無線通信に使用される。 An authentication device according to an embodiment comprises holding means and communication means. The holding unit holds, for each network slice, a private key used for wireless communication executed using each of a plurality of network slices established with the wireless communication device. The communication means provides a first random number and the updated first secret key for updating a first secret key used in wireless communication performed using a first network slice included in the plurality of network slices. to the wireless communication device using a second network slice different from the first network slice. The first secret key updated based on the first random number is held in the holding means, and the base station and the wireless communication device are executed using the first network slice based on the usage start timing. used for wireless communication between

第1実施形態に係る無線通信システムの構成の一例を示す図。1 is a diagram showing an example of the configuration of a radio communication system according to the first embodiment; FIG. 認証処理について説明するための図。FIG. 4 is a diagram for explaining authentication processing; 認証装置の構成の一例を示すブロック図。FIG. 2 is a block diagram showing an example of the configuration of an authentication device; 無線端末の構成の一例を示すブロック図。1 is a block diagram showing an example of the configuration of a wireless terminal; FIG. 情報保持部のデータ構造の一例を示す図。The figure which shows an example of the data structure of an information holding part. 秘密鍵を更新する際の認証装置の処理手順の一例を示すフローチャート。4 is a flowchart showing an example of a processing procedure of an authentication device when updating a private key; 秘密鍵の更新処理の具体例について説明するための図。FIG. 5 is a diagram for explaining a specific example of private key update processing; 第2実施形態において秘密鍵を更新する際の認証装置の処理手順の一例を示すフローチャート。FIG. 11 is a flowchart showing an example of a processing procedure of an authentication device when updating a secret key in the second embodiment; FIG. 第3実施形態において秘密鍵を更新する際の認証装置の処理手順の一例を示すフローチャート。13 is a flow chart showing an example of a processing procedure of an authentication device when updating a secret key in the third embodiment;

以下、図面を参照して、各実施形態について説明する。
(第1実施形態)
まず、第1実施形態について説明する。図1は、本実施形態に係る無線通信システムの構成の一例を示す。無線通信システムは、例えば5G移動通信システムであり、認証装置10、基地局20及び無線端末30を備える。 Hereinafter, each embodiment will be described with reference to the drawings.
(First embodiment)
First, the first embodiment will be described. FIG. 1 shows an example of the configuration of a radio communication system according to this embodiment. The radio communication system is, for example, a 5G mobile communication system, and includes an authentication device 10, a base station 20 and a radio terminal 30.

認証装置10は、無線通信システムに備えられる無線端末30を認証する処理(以下、認証処理と表記)を実行する。 The authentication device 10 executes processing (hereinafter referred to as authentication processing) for authenticating the wireless terminal 30 provided in the wireless communication system.

基地局20は、認証装置10及び無線端末30の間に配置され、当該基地局20がカバーしている範囲内に存在する無線端末30との無線通信を実行する。なお、認証装置10及び基地局20は、例えば有線により接続されている。 The base station 20 is placed between the authentication device 10 and the wireless terminal 30 and performs wireless communication with the wireless terminal 30 within the range covered by the base station 20 . Note that the authentication device 10 and the base station 20 are connected by wire, for example.

無線端末30は、例えば無線通信システム(5G移動通信システム)において提供されるサービスを利用する際にネットワークを介して基地局20と無線通信を実行する端末装置(無線通信装置)である。 The wireless terminal 30 is, for example, a terminal device (wireless communication device) that performs wireless communication with the base station 20 via a network when using a service provided in a wireless communication system (5G mobile communication system).

ここで、図2を参照して、上記した認証装置10によって実行される認証処理について簡単に説明する。本実施形態においては、例えばEAP(Extensible Authentication Protocol)-AKA(Authentication and Key Agreement)を適用した認証処理が実行されるものとして説明する。なお、ここでは認証装置10及び無線端末30が通信処理を実行するものとして説明するが、当該通信処理は、上記したように認証装置10及び無線端末30の間に配置されている基地局20を介して実行される。以下の説明についても同様である。 Here, with reference to FIG. 2, the authentication processing executed by the authentication device 10 described above will be briefly described. In the present embodiment, it is assumed that authentication processing is performed using, for example, EAP (Extensible Authentication Protocol)-AKA (Authentication and Key Agreement). Here, it is assumed that the authentication device 10 and the wireless terminal 30 execute communication processing. run through. The same applies to the following description.

まず、認証装置10は、無線端末30に対してEAPリクエスト(EAP-Request/Identity)を送信する(ステップS1)。 First, the authentication device 10 transmits an EAP-Request/Identity to the wireless terminal 30 (step S1).

ステップS1の処理が実行されると、無線端末30は、当該ステップS1において送信されたEAPリクエストに対する応答として、EAPレスポンス(EAP-Response/Identity)を認証装置10に送信する(ステップS2)。 When the process of step S1 is executed, the wireless terminal 30 transmits an EAP response (EAP-Response/Identity) to the authentication device 10 as a response to the EAP request transmitted in step S1 (step S2).

次に、認証装置10は、当該認証装置10において生成される乱数(128bitのRAND)及び改ざん防止用の認証コード(AUTN)が付加されたEAPリクエスト(EAP-Request/AKA-Challenge)を無線端末30に送信する(ステップS3)。 Next, the authentication device 10 transmits an EAP request (EAP-Request/AKA-Challenge) to which a random number (128-bit RAND) generated in the authentication device 10 and an authentication code (AUTN) for tampering prevention are added to the wireless terminal. 30 (step S3).

ここで、無線端末30にはSIMカードが挿入されており、当該SIMカードには、共有秘密鍵が書き込まれている。無線端末30は、このSIMカードに書き込まれている共有秘密鍵と、ステップS3において認証装置10から送信されたEAPリクエストに付加されている乱数とからCK(Cipher Key)及びIK(Integrity Key)を計算することによって、基地局20との無線通信に使用する秘密鍵(CK及びIKに基づく秘密鍵)を生成する。 Here, a SIM card is inserted in the wireless terminal 30, and a shared secret key is written in the SIM card. The wireless terminal 30 obtains a CK (Cipher Key) and an IK (Integrity Key) from the shared secret key written in the SIM card and the random number added to the EAP request transmitted from the authentication device 10 in step S3. By calculating, a secret key (a secret key based on CK and IK) used for wireless communication with the base station 20 is generated.

上記したように秘密鍵が生成されると、無線端末30は、上記した共有秘密鍵と乱数から応答値XRESを計算し、ステップS3において送信されたEAPリクエストに対するEAPレスポンス(EAP-Response/AKA-Challenge)として、当該計算された応答値XRESを認証装置10に送信する(ステップS4)。 When the secret key is generated as described above, the wireless terminal 30 calculates the response value XRES from the shared secret key and the random number, and an EAP response (EAP-Response/AKA- Challenge), the calculated response value XRES is transmitted to the authentication device 10 (step S4).

認証装置10は、ステップS4において送信された応答値XRESと、通信キャリアにおいて保持されている共有秘密鍵(上記したSIMカードに書き込まれている共有秘密鍵と同一の共有秘密鍵)及び上記したステップS3において無線端末30に送信した乱数から事前に計算しておいたXRESとを照合し、当該XRESが一致した場合に、認証処理の成功を示す応答(EAP-Success)を無線端末30に送信する(ステップS5)。 The authentication device 10 receives the response value XRES transmitted in step S4, the shared secret key held by the communication carrier (the same shared secret key as the shared secret key written in the SIM card described above), and the above step In S3, the random number transmitted to the wireless terminal 30 is compared with the pre-calculated XRES, and if the XRES matches, a response (EAP-Success) indicating the success of the authentication process is transmitted to the wireless terminal 30. (Step S5).

上記したような認証処理が実行された場合、無線端末30は、上記した秘密鍵を使用して基地局20との無線通信を実行する。具体的には、認証処理が実行された後に基地局20から無線端末30にデータが送信される場合、当該データは、公開鍵暗号方式において上記した秘密鍵と対になる公開鍵を使用して基地局20側で暗号化され、当該秘密鍵を使用して無線端末30側で復号化される。 When the authentication process as described above is performed, the wireless terminal 30 performs wireless communication with the base station 20 using the secret key described above. Specifically, when data is transmitted from the base station 20 to the wireless terminal 30 after the authentication process is executed, the data is encrypted using the public key paired with the private key described above in the public key cryptosystem. It is encrypted on the base station 20 side and decrypted on the wireless terminal 30 side using the private key.

なお、ここでは説明を省略したが、上記した秘密鍵は通信キャリアにおいて保持されている共有秘密鍵及び無線端末30に対して送信された乱数から認証装置10側においても生成される。これによれば、無線端末30から基地局20にデータが送信される場合、当該データは、公開鍵を使用して無線端末30側で暗号化され、認証装置10で生成された秘密鍵を使用して基地局20側で復号化される。 Although not explained here, the above secret key is also generated on the authentication device 10 side from the shared secret key held by the communication carrier and the random number transmitted to the wireless terminal 30 . According to this, when data is transmitted from the wireless terminal 30 to the base station 20, the data is encrypted on the wireless terminal 30 side using the public key, and the private key generated by the authentication device 10 is used. Then, it is decoded on the base station 20 side.

基地局20と無線端末30との間で上記したような無線通信が実行されることにより、無線通信システムにおける無線通信の安全性を向上させることができる。 By executing the above-described wireless communication between the base station 20 and the wireless terminal 30, the safety of wireless communication in the wireless communication system can be improved.

ところで、5G移動通信システムのような無線通信システムにおいては高速、多接続、及び低遅延等の幅広い要求に対応する必要があるところ、このような多様な要求(要望及び通信サービス)の特性に応じて、リソース等をネットワークスライスと称される単位に論理的に分割して管理または運用する技術(以下、ネットワークスライシング技術と表記)がある。 By the way, in a wireless communication system such as a 5G mobile communication system, it is necessary to support a wide range of requirements such as high speed, multiple connections, and low delay. Therefore, there is a technology (hereinafter referred to as network slicing technology) that manages or operates resources by logically dividing them into units called network slices.

このネットワークスライシング技術によれば、ネットワークに配置される共通のハードウェアリソース(サーバまたはルータ等)上に複数のネットワークスライス(論理的な区分)を構築し、当該各ネットワークスライスを独立して運用することができる。このようなネットワークスライスを無線通信システム(5G移動通信システム)において提供される各サービスに個別に割り当てることにより、ネットワークの複雑化を回避し、効率的なネットワークを構成することができる。また、ネットワークスライシング技術においては、共通のハードウェアリソースを仮想的に分割して複数のネットワークスライスの各々に割り当てるため、リソース全体の利用効率を向上させることができる。 According to this network slicing technology, multiple network slices (logical divisions) are built on common hardware resources (servers, routers, etc.) placed in the network, and each network slice is operated independently. be able to. By individually allocating such a network slice to each service provided in a wireless communication system (5G mobile communication system), network complication can be avoided and an efficient network can be constructed. Moreover, in the network slicing technology, since a common hardware resource is virtually divided and assigned to each of a plurality of network slices, it is possible to improve the utilization efficiency of the entire resource.

上記したような複数のネットワークスライスが認証装置10(基地局20)と無線端末30との間で構築されている場合、上記した認証処理は当該ネットワークスライス毎に実行され、当該ネットワークスライス毎の秘密鍵が認証装置10及び無線端末30において生成される。 When a plurality of network slices as described above are established between the authentication device 10 (base station 20) and the wireless terminal 30, the authentication process described above is executed for each network slice, and the secret for each network slice is A key is generated at the authentication device 10 and the wireless terminal 30 .

以下、本実施形態に係る無線通信システムに備えられる認証装置10及び無線端末30の構成について説明する。 The configurations of the authentication device 10 and the wireless terminal 30 provided in the wireless communication system according to this embodiment will be described below.

図3は、認証装置10の構成の一例を示すブロック図である。図3に示すように、認証装置10は、認証処理部11、更新処理部12、通信部13及び情報保持部14を含む。 FIG. 3 is a block diagram showing an example of the configuration of the authentication device 10. As shown in FIG. As shown in FIG. 3, the authentication device 10 includes an authentication processing unit 11, an update processing unit 12, a communication unit 13, and an information holding unit .

認証処理部11は、上記した認証処理を実行する。なお、認証処理部11は、上記した認証処理が実行される際に乱数を生成する乱数生成部(図示せず)及び無線端末30との無線通信を実行する際に基地局20によって使用される秘密鍵を生成する鍵生成部(図示せず)等を含む。 The authentication processing unit 11 executes the authentication processing described above. The authentication processing unit 11 is used by a random number generation unit (not shown) that generates random numbers when the authentication processing described above is executed, and by the base station 20 when performing wireless communication with the wireless terminal 30. It includes a key generator (not shown) for generating a private key, and the like.

ここで、基地局20及び無線端末30間において実行される無線通信の安全性は上記した秘密鍵を使用することによって向上させることができるが、当該安全性を維持するためには、当該秘密鍵を定期的に更新する必要がある。 Here, the security of wireless communication performed between the base station 20 and the wireless terminal 30 can be improved by using the above secret key. should be updated regularly.

更新処理部12は、認証処理部11によって認証処理が実行されることによって認証装置10(認証処理部11)及び無線端末30において生成された秘密鍵を更新する処理(以下、更新処理と表記)を実行する。なお、更新処理においては、上記した認証処理と同様の処理が実行されることによって、認証装置10及び無線端末30において新たな秘密鍵が生成される。すなわち、更新処理部12は、秘密鍵を更新するための乱数を生成する乱数生成部(図示せず)及び更新後の新たな秘密鍵を生成する鍵生成部(図示せず)等を含む。 The update processing unit 12 updates the secret key generated in the authentication device 10 (authentication processing unit 11) and the wireless terminal 30 by executing the authentication processing by the authentication processing unit 11 (hereinafter referred to as update processing). to run. In the update process, a new secret key is generated in the authentication device 10 and the wireless terminal 30 by executing the same process as the authentication process described above. That is, the update processing unit 12 includes a random number generation unit (not shown) that generates random numbers for updating the secret key, a key generation unit (not shown) that generates a new secret key after updating, and the like.

なお、本実施形態において、認証処理部11及び更新処理部12の一部または全ては、認証装置10に備えられる少なくとも1つ以上のプロセッサ(つまり、認証装置10のコンピュータ)が所定のプログラムを実行すること、すなわち、ソフトウェアによって実現されるものとする。なお、認証処理部11及び更新処理部12の一部または全ては、所定の処理回路等のハードウェアによって実現されてもよいし、ソフトウェア及びハードウェアの組み合わせによって実現されてもよい。 In the present embodiment, part or all of the authentication processing unit 11 and the update processing unit 12 are implemented by at least one or more processors provided in the authentication device 10 (that is, the computer of the authentication device 10) executing a predetermined program. shall be realized by software. Part or all of the authentication processing unit 11 and the update processing unit 12 may be realized by hardware such as a predetermined processing circuit, or may be realized by a combination of software and hardware.

通信部13は、上記した認証処理及び更新処理が実行される際に、乱数を無線端末30に送信する。なお、本実施形態において、通信部13は、認証装置10に備えられるアンテナ及び通信デバイス等によって実現されるものとする。 The communication unit 13 transmits a random number to the wireless terminal 30 when the authentication process and update process described above are executed. In addition, in the present embodiment, the communication unit 13 is realized by an antenna, a communication device, and the like provided in the authentication device 10 .

上記したように認証装置10と無線端末30との間に複数のネットワークスライスが構築されている場合には当該ネットワークスライス毎に秘密鍵が生成されるが、情報保持部14は、当該ネットワークスライス毎に生成された秘密鍵を、当該ネットワークスライスを識別するための識別子(以下、ネットワークスライス識別子と表記)に対応づけて保持する。 As described above, when a plurality of network slices are constructed between the authentication device 10 and the wireless terminal 30, a secret key is generated for each network slice. The generated private key is stored in association with an identifier for identifying the network slice (hereinafter referred to as network slice identifier).

なお、本実施形態において、情報保持部14は、認証装置10に備えられるメモリまたは記憶デバイス等によって実現されるものとする。 In this embodiment, the information holding unit 14 is assumed to be implemented by a memory, a storage device, or the like provided in the authentication device 10 .

図4は、無線端末30の構成の一例を示すブロック図である。図4に示すように、無線端末30は、通信部31、鍵生成部32及び情報保持部33を含む。 FIG. 4 is a block diagram showing an example of the configuration of the wireless terminal 30. As shown in FIG. As shown in FIG. 4, the wireless terminal 30 includes a communication section 31, a key generation section 32 and an information holding section 33. FIG.

通信部31は、認証装置10によって認証処理が実行される場合に当該認証装置10から送信された乱数を受信する。同様に、通信部31は、認証装置10によって更新処理が実行される場合に当該認証装置10から送信された乱数を受信する。また、通信部31は、上記した認証処理及び更新処理が実行される際に、図2において説明したEAPレスポンスを認証装置10に送信する。 The communication unit 31 receives the random number transmitted from the authentication device 10 when the authentication processing is executed by the authentication device 10 . Similarly, the communication unit 31 receives a random number transmitted from the authentication device 10 when the authentication device 10 executes update processing. Also, the communication unit 31 transmits the EAP response described with reference to FIG.

なお、本実施形態において、通信部31は、無線端末30に備えられるアンテナ及び通信デバイス等によって実現されるものとする。 In this embodiment, the communication unit 31 is assumed to be implemented by an antenna, a communication device, etc. provided in the wireless terminal 30 .

鍵生成部32は、無線端末30に挿入されているSIMカードに予め書き込まれている共有秘密鍵及び通信部31によって受信された乱数に基づいて基地局20との無線通信に使用される秘密鍵を生成する。 The key generation unit 32 generates a secret key used for wireless communication with the base station 20 based on the shared secret key pre-written in the SIM card inserted in the wireless terminal 30 and the random number received by the communication unit 31. to generate

なお、本実施形態において、鍵生成部32の一部または全ては、無線端末30に備えられる少なくとも1つ以上のプロセッサ(つまり、無線端末30のコンピュータ)が所定のプログラムを実行すること、すなわち、ソフトウェアによって実現されるものとする。なお、鍵生成部32の一部または全ては、所定の処理回路等のハードウェアによって実現されてもよいし、ソフトウェア及びハードウェアの組み合わせによって実現されてもよい。 In this embodiment, part or all of the key generation unit 32 is implemented by at least one or more processors provided in the wireless terminal 30 (that is, the computer of the wireless terminal 30) executing a predetermined program, that is, It shall be implemented by software. Part or all of the key generation unit 32 may be realized by hardware such as a predetermined processing circuit, or may be realized by a combination of software and hardware.

上記したように秘密鍵はネットワークスライス毎に生成されるが、情報保持部33は、鍵生成部32によってネットワークスライス毎に生成された秘密鍵を、当該ネットワークスライスを識別するためのネットワークスライス識別子に対応づけて保持する。 As described above, a secret key is generated for each network slice, and the information holding unit 33 uses the secret key generated for each network slice by the key generation unit 32 as a network slice identifier for identifying the network slice. Store in association.

なお、本実施形態において、情報保持部33は、無線端末30に備えられるメモリまたは記憶デバイス等によって実現されるものとする。 In this embodiment, the information holding unit 33 is assumed to be realized by a memory, a storage device, or the like provided in the wireless terminal 30 .

図5は、認証装置10に含まれる情報保持部14のデータ構造の一例を示す。図5に示すように、情報保持部14は、ネットワークスライス識別子に対応づけて、秘密鍵、有効期限、許容遅延時間及び最大通信量等の情報を保持する。 FIG. 5 shows an example of the data structure of the information holding unit 14 included in the authentication device 10. As shown in FIG. As shown in FIG. 5, the information holding unit 14 holds information such as a secret key, expiration date, allowable delay time, maximum traffic volume, etc. in association with the network slice identifier.

ネットワークスライス識別子は、認証装置10と無線端末30との間に構築されているネットワークスライスを識別するための識別子である。 A network slice identifier is an identifier for identifying a network slice established between authentication device 10 and wireless terminal 30 .

秘密鍵は、対応づけられているネットワークスライス識別子によって識別されるネットワークスライスを用いて実行される無線通信に使用される秘密鍵(当該ネットワークスライスで使用される秘密鍵)である。 The private key is a private key (private key used in the network slice) used for wireless communication performed using the network slice identified by the associated network slice identifier.

有効期限は、対応づけられている秘密鍵に設定されている有効期限である。有効期限は、例えば年月日及び時刻を含むが、他の形式で表されてもよい。 The term of validity is the term of validity set for the associated private key. The expiration date includes, for example, year, month, day and time, but may be expressed in other formats.

許容遅延時間は、対応づけられているネットワークスライス識別子によって識別されるネットワークスライスを用いて実行される無線通信において許容されている遅延時間である。 The permissible delay time is the permissible delay time in wireless communication performed using the network slice identified by the associated network slice identifier.

最大通信量は、対応づけられているネットワークスライス識別子によって識別されるネットワークスライスを用いて実行される無線通信における最大の通信量(通信可能なデータ量の最大値)である。 The maximum amount of communication is the maximum amount of communication (maximum amount of data that can be communicated) in wireless communication performed using the network slice identified by the associated network slice identifier.

図5に示す例では、認証装置10と無線端末30との間に第1及び第2ネットワークスライスを含む複数のネットワークスライスが構築されている場合の情報保持部14のデータ構造の一例が示されている。 The example shown in FIG. 5 shows an example of the data structure of the information holding unit 14 when a plurality of network slices including first and second network slices are constructed between the authentication device 10 and the wireless terminal 30. ing.

具体的には、情報保持部14は、ネットワークスライス識別子「0001」に対応づけて、秘密鍵「秘密鍵1」、有効期限「xxxx/xx/xx xx:xx」、許容遅延時間「50ms」及び最大通信量「最大通信量1」を保持している。これによれば、ネットワークスライス識別子「001」によって識別されるネットワークスライス(第1ネットワークスライス)を用いた無線通信において使用される秘密鍵が「秘密鍵1」であり、当該「秘密鍵1」の有効期限が「xxxx年xx月xx日xx時xx分」であることが示されている。また、第1ネットワークスライスを用いた無線通信における許容遅延時間が「50ms」であり、当該無線通信における最大の通信量が「最大通信量1」であることが示されている。 Specifically, the information holding unit 14 associates the network slice identifier “0001” with the secret key “secret key 1”, the expiration date “xxxx/xx/xx xx:xx”, the allowable delay time “50 ms” and The maximum communication volume "maximum communication volume 1" is held. According to this, the secret key used in wireless communication using the network slice (first network slice) identified by the network slice identifier “001” is “secret key 1”, and the “secret key 1” is It is shown that the expiration date is “xx, xx, xx, xx, xx, year xx”. It also shows that the allowable delay time in wireless communication using the first network slice is "50 ms" and the maximum communication traffic in the wireless communication is "maximum communication traffic 1".

また、情報保持部14は、ネットワークスライス識別子「0002」に対応づけて、秘密鍵「秘密鍵2」、有効期限「yyyy/yy/yy yy:yy」、許容遅延時間「1s」及び最大通信量「最大通信量2」を保持している。これによれば、ネットワークスライス識別子「002」によって識別されるネットワークスライス(第2ネットワークスライス)を用いた無線通信において使用される秘密鍵が「秘密鍵2」であり、当該「秘密鍵2」の有効期限が「yyyy年yy月yy日yy時yy分」であることが示されている。また、第2ネットワークスライスを用いた無線通信における許容遅延時間が「1s」であり、当該無線通信における最大の通信量が「最大通信量2」であることが示されている。 In addition, the information holding unit 14 associates the network slice identifier "0002" with the secret key "secret key 2", the expiration date "yyyy/yy/yy yy:yy", the allowable delay time "1 s", and the maximum traffic volume. "Maximum traffic volume 2" is held. According to this, the secret key used in wireless communication using the network slice (second network slice) identified by the network slice identifier “002” is “secret key 2”, and the “secret key 2” is It indicates that the expiration date is “year yyyy yy month yy day yy hour yy minute”. It also shows that the allowable delay time in wireless communication using the second network slice is "1 s" and the maximum communication traffic in the wireless communication is "maximum communication traffic 2".

なお、上記した有効期限は、例えば認証処理及び更新処理が実行されることによって秘密鍵が生成される際に、当該秘密鍵に対して予め設定されているものとする。 It is assumed that the expiration date described above is set in advance for the private key when the private key is generated by executing the authentication process and the update process, for example.

また、上記したように複数のネットワークスライスの各々は独立して運用されるため、上記した許容遅延時間及び最大通信量等については、当該ネットワークスライス毎に異なっているものとする。なお、上記した第1ネットワークスライスは、許容遅延時間が短いため、例えば映像を配信するような用途に利用される(映像配信に割り当てられている)ネットワークスライスである。一方、第2ネットワークスライスは、許容遅延時間が長いため、例えばファイルを転送するような用途に利用される(ファイル転送に割り当てられている)ネットワークスライスである。 In addition, since each of the plurality of network slices is operated independently as described above, it is assumed that the above-described permissible delay time, maximum traffic volume, etc. are different for each network slice. Note that the above-described first network slice is a network slice that is used (assigned to video distribution) for purposes such as video distribution, for example, because the allowable delay time is short. On the other hand, the second network slice has a long permissible delay time, so it is a network slice that is used for purposes such as file transfer (assigned to file transfer).

ここでは第1及び第2ネットワークスライスを識別するためのネットワークスライス識別子に対応づけて情報保持部14に保持される情報(つまり、第1及び第2ネットワークスライスの情報)についてのみ説明したが、第1及び第2ネットワークスライス以外にもネットワークスライスが構築されている場合には、当該ネットワークスライスの情報も情報保持部14に保持されている。 Here, only information held in the information holding unit 14 in association with network slice identifiers for identifying the first and second network slices (that is, information on the first and second network slices) has been explained. When network slices other than the first and second network slices are constructed, information on the network slices is also held in the information holding unit 14 .

また、ここでは情報保持部14がネットワークスライス毎にネットワークスライス識別子、秘密鍵、有効期限、許容遅延時間及び最大通信量(の情報)を保持するものとして説明したが、当該情報保持部14は、これらの情報以外の情報を保持していてもよいし、これらの情報のうちの一部を保持していなくてもよい。 Also, here, the information holding unit 14 is described as holding (information on) the network slice identifier, secret key, expiration date, allowable delay time, and maximum communication volume for each network slice, but the information holding unit 14 Information other than these pieces of information may be held, or part of these pieces of information may not be held.

ここでは認証装置10に含まれる情報保持部14のデータ構造について説明したが、無線端末30に含まれる情報保持部33においても同様の情報が保持されているものとする。なお、認証装置10に含まれる情報保持部14に保持される情報と、無線端末30に含まれる情報保持部33に保持される情報とは、同一であってもよいし、異なっていてもよい。 Although the data structure of the information holding unit 14 included in the authentication device 10 has been described here, it is assumed that the information holding unit 33 included in the wireless terminal 30 also holds similar information. The information held in the information holding unit 14 included in the authentication device 10 and the information held in the information holding unit 33 included in the wireless terminal 30 may be the same or different. .

次に、図6のフローチャートを参照して、秘密鍵を更新する際の認証装置10の処理手順の一例について説明する。ここでは、上記した認証処理が実行されることによって認証装置10(情報保持部14)及び無線端末30(情報保持部33)において既に秘密鍵が保持されており、基地局20及び無線端末30間で当該秘密鍵を使用した無線通信が実行されているものとする。 Next, an example of the processing procedure of the authentication device 10 when updating the private key will be described with reference to the flowchart of FIG. Here, the secret key is already held in the authentication device 10 (information holding unit 14) and the wireless terminal 30 (information holding unit 33) by executing the authentication process described above, and the base station 20 and the wireless terminal 30 It is assumed that wireless communication using the private key is being performed in

まず、認証装置10に含まれる更新処理部12は、情報保持部14を参照して、更新対象となる秘密鍵(以下、更新対象鍵と表記)を特定する(ステップS11)。 First, the update processing unit 12 included in the authentication device 10 refers to the information holding unit 14 to specify a private key to be updated (hereinafter referred to as an update target key) (step S11).

なお、更新対象秘密鍵は、情報保持部14に保持されている複数の秘密鍵(つまり、認証装置10と無線端末30との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される複数の秘密鍵)の中から、当該秘密鍵に対応づけて情報保持部14に保持されている有効期限(つまり、当該秘密鍵に対して設定されている有効期限)に基づいて特定される。 Note that the update target secret key is executed using each of a plurality of secret keys held in the information holding unit 14 (that is, each of a plurality of network slices constructed between the authentication device 10 and the wireless terminal 30). (a plurality of private keys used for wireless communication), the expiration date held in the information holding unit 14 in association with the private key (that is, the expiration date set for the private key) identified based on

具体的には、例えば現在の日時から予め定められた期間内に該当する有効期限が存在する場合、更新処理部12は、当該有効期限に対応づけて情報保持部14に保持されている秘密鍵を更新対象秘密鍵として特定する。 Specifically, for example, if the applicable expiration date exists within a predetermined period from the current date and time, the update processing unit 12 updates the private key held in the information holding unit 14 in association with the expiration date. is identified as the private key to be updated.

ここで、例えばステップS11において特定された更新対象鍵を更新する場合には、当該更新対象鍵を更新するための乱数を認証装置10から無線端末30に送信する必要があるが、当該乱数の送信には、当該更新対象鍵を使用するネットワークスライスを用いることが考えられる。 Here, for example, when updating the update target key specified in step S11, it is necessary to transmit a random number for updating the update target key from the authentication device 10 to the wireless terminal 30. For this, it is conceivable to use a network slice that uses the update target key.

しかしながら、例えば許容遅延時間が50msである第1ネットワークスライス及び許容遅延時間が1sである第2ネットワークスライスが構築されており、当該第1ネットワークスライスで使用される秘密鍵(以下、第1秘密鍵と表記)が更新対象鍵として特定された場合において、当該第1ネットワークスライスを用いて当該第1秘密鍵の更新処理(つまり、乱数の送信等)が実行されると、当該第1ネットワークスライスを用いて実行される無線通信に影響を与え、許容遅延時間を超える遅延時間が発生する可能性がある。この場合には、第1ネットワークスライスとは異なる第2ネットワークスライス(つまり、第1ネットワークスライスよりも許容遅延時間が長い第2ネットワークスライス)を用いて第1秘密鍵を更新する方が好ましいと考えられる。 However, for example, a first network slice with an allowable delay time of 50 ms and a second network slice with an allowable delay time of 1 s are constructed, and the secret key used in the first network slice (hereinafter referred to as the first secret key ) is specified as the key to be updated, and the first network slice is used to update the first secret key (i.e., random number transmission, etc.), the first network slice is There is a possibility that a delay time that exceeds the allowable delay time may occur, affecting the wireless communication performed using it. In this case, it is considered preferable to update the first secret key using a second network slice different from the first network slice (that is, a second network slice with a longer allowable delay time than the first network slice). be done.

そこで、本実施形態において、更新処理部12は、情報保持部14を参照して、更新対象鍵を更新する際に用いる(つまり、乱数を送信するために用いる)ネットワークスライスを選択する(ステップS12)。 Therefore, in the present embodiment, the update processing unit 12 refers to the information holding unit 14 and selects a network slice to be used when updating the update target key (that is, used to transmit the random number) (step S12 ).

この場合、更新処理部12は、例えば情報保持部14に保持されている許容遅延時間に基づいて、ネットワークスライスを選択することができる。具体的には、許容遅延時間が50msである第1ネットワークスライス及び許容遅延時間が1sである第2ネットワークスライスが構築されている場合、更新処理部12は、許容遅延時間が長い第2ネットワークスライス(つまり、最も長い許容遅延時間に対応づけて情報保持部14に保持されているネットワークスライス識別子によって識別されるネットワークスライス)を選択するものとする。 In this case, the update processing unit 12 can select a network slice based on the allowable delay time held in the information holding unit 14, for example. Specifically, when a first network slice with a permissible delay time of 50 ms and a second network slice with a permissible delay time of 1 s are constructed, the update processing unit 12 updates the second network slice with a longer permissible delay time. (that is, the network slice identified by the network slice identifier held in the information holding unit 14 in association with the longest allowable delay time) is selected.

なお、ステップS12においては認証装置10と無線端末30との間に構築されている複数のネットワークスライスの中から1つのネットワークスライスが選択されればよく、当該選択されるネットワークスライスは、更新対象鍵を使用した無線通信が実行されるネットワークスライス(更新対象鍵が使用されるネットワークスライス)であってもよいし、更新対象が使用されるネットワークスライス以外の他のネットワークスライスであってもよい。 In step S12, one network slice may be selected from a plurality of network slices established between the authentication device 10 and the wireless terminal 30, and the selected network slice is the key to be updated. may be a network slice in which wireless communication using is performed (a network slice in which the update target key is used), or a network slice other than the network slice in which the update target is used.

また、ここでは情報保持部14に保持されている許容遅延時間に基づいてネットワークスライスが選択されるものとして説明したが、当該ネットワークスライスは、例えば複数のネットワークスライスの各々を用いて実行されている無線通信における現在の通信量(無線通信が実行されている現在のデータ量)に基づいて選択されてもよい。この場合、更新処理部12は、例えば各ネットワークスライスを用いて実行されている無線通信における現在の通信量(データ量)を計測し、当該計測された現在の通信量が最も少ないネットワークスライスを選択することができる。 Also, here, it has been described that a network slice is selected based on the allowable delay time held in the information holding unit 14, but the network slice is executed using each of a plurality of network slices, for example. It may be selected based on the current amount of communication in wireless communication (current amount of data in which wireless communication is being performed). In this case, the update processing unit 12, for example, measures the current amount of communication (data amount) in the wireless communication being executed using each network slice, and selects the network slice with the smallest measured current amount of communication. can do.

更に、更新処理部12は、情報保持部14に保持されている最大通信量に基づいてネットワークスライスを選択してもよい。この場合、更新処理部12は、例えば最大通信量が最も多いネットワークスライス(つまり、最も多い最大通信量に対応づけて情報保持部14に保持されているネットワークスライス識別子によって識別されるネットワークスライス)を選択することができる。 Further, the update processing unit 12 may select network slices based on the maximum traffic volume held in the information holding unit 14 . In this case, the update processing unit 12 selects, for example, the network slice with the largest maximum traffic (that is, the network slice identified by the network slice identifier held in the information holding unit 14 in association with the largest maximum traffic). can be selected.

また、更新処理部12は、上記した現在の通信量及び情報保持部14に保持されている最大通信量に基づいてネットワークスライスを選択する構成であってもよい。この場合、更新処理部12は、現在の通信量と最大通信量との差分が最大であるネットワークスライスまたは最大通信量に対する現在の通信量の割合が最小であるネットワークスライスを選択することができる。換言すれば、更新処理部12は、設定されている通信帯域に対する現在の通信量(すなわち、通信状況)に余裕があるネットワークスライスを選択してもよい。 Further, the update processing unit 12 may be configured to select a network slice based on the current communication traffic and the maximum communication traffic held in the information holding unit 14 . In this case, the update processing unit 12 can select the network slice with the largest difference between the current traffic and the maximum traffic or the network slice with the minimum ratio of the current traffic to the maximum traffic. In other words, the update processing unit 12 may select a network slice that has a margin in the current communication traffic (that is, communication status) for the set communication band.

なお、ここで説明したネットワークスライスの選択処理は一例であり、更新処理部12は、更新対象鍵の更新が基地局20及び無線端末30間の無線通信に影響を与える可能性が少ないネットワークスライスを選択すればよく、例えば上記した許容遅延時間、現在の通信量及び最大通信量等を総合的に勘案してネットワークスライスを選択してもよい。 Note that the network slice selection processing described here is just an example, and the update processing unit 12 selects a network slice that is less likely to affect wireless communication between the base station 20 and the wireless terminal 30 by updating the update target key. For example, a network slice may be selected by comprehensively considering the above-described allowable delay time, current traffic, maximum traffic, and the like.

次に、更新処理部12は、ステップS12において選択されたネットワークスライス(以下、選択ネットワークスライスと表記)がステップS11において特定された更新対象鍵を使用するネットワークスライスと一致するか否かを判定する(ステップS13)。なお、ステップS11において特定された更新対象鍵に対応するネットワークスライスは、当該更新対象鍵に対応づけて情報保持部14に保持されているネットワークスライス識別子によって識別されるネットワークスライスである。 Next, the update processing unit 12 determines whether or not the network slice selected in step S12 (hereinafter referred to as the selected network slice) matches the network slice using the update target key identified in step S11. (Step S13). Note that the network slice corresponding to the update target key identified in step S11 is a network slice identified by the network slice identifier held in the information holding unit 14 in association with the update target key.

選択ネットワークスライスが更新対象鍵を使用するネットワークスライスと一致しないと判定された場合(ステップS13のNO)、更新処理部12は、第1更新処理を実行する(ステップS14)。 If it is determined that the selected network slice does not match the network slice that uses the update target key (NO in step S13), the update processing unit 12 executes first update processing (step S14).

以下、第1更新処理について説明する。第1更新処理において、更新処理部12(通信部13)は、更新対象鍵を更新するための乱数を、選択ネットワークスライスを用いて無線端末30に送信する。 The first update process will be described below. In the first update process, the update processing unit 12 (communication unit 13) transmits a random number for updating the update target key to the wireless terminal 30 using the selected network slice.

このように更新処理部12(通信部13)から無線端末30に送信された乱数は当該無線端末30に含まれる通信部31によって受信され、当該無線端末30に含まれる鍵生成部32は、無線端末30に挿入されているSIMカードに書き込まれている共有秘密鍵及び当該通信部31によって受信された乱数に基づいて新たな秘密鍵(つまり、更新後の秘密鍵)を生成する。このように鍵生成部32によって生成された秘密鍵は、更新対象鍵を使用するネットワークスライスを識別するためのネットワークスライス識別子に対応づけて情報保持部33に保持され、当該ネットワークスライスを用いて実行される基地局20と無線端末30との間の無線通信に使用される。 The random number thus transmitted from the update processing unit 12 (communication unit 13) to the wireless terminal 30 is received by the communication unit 31 included in the wireless terminal 30, and the key generation unit 32 included in the wireless terminal 30 wirelessly A new secret key (that is, an updated secret key) is generated based on the shared secret key written in the SIM card inserted in the terminal 30 and the random number received by the communication unit 31 . The secret key generated by the key generation unit 32 in this way is stored in the information storage unit 33 in association with the network slice identifier for identifying the network slice that uses the update target key, and the execution is performed using the network slice. used for wireless communication between the base station 20 and the wireless terminal 30.

また、認証装置10に含まれる更新処理部12は、通信キャリアにおいて保持されている共有秘密鍵及び無線端末30に対して送信された乱数に基づいて新たな秘密鍵(つまり、更新後の秘密鍵)を生成する。このように更新処理部12によって生成された秘密鍵は、更新対象鍵を使用するネットワークスライスを識別するためのネットワークスライス識別子に対応づけて情報保持部14に保持され、当該ネットワークスライスを用いて実行される基地局20と無線端末30との間の無線通信に使用される。 Further, the update processing unit 12 included in the authentication device 10 generates a new secret key (that is, the updated secret key based on the shared secret key held by the communication carrier and the random number transmitted to the wireless terminal 30). ). The private key generated by the update processing unit 12 in this way is stored in the information storage unit 14 in association with the network slice identifier for identifying the network slice that uses the update target key, and the execution is performed using the network slice. used for wireless communication between the base station 20 and the wireless terminal 30.

上記した第1更新処理は、例えばステップS11において特定された更新対象鍵が第1ネットワークスライスで使用される第1秘密鍵であり、ステップS12において選択されたネットワークスライス(選択ネットワークスライス)が第1ネットワークスライスとは異なる第2ネットワークスライスであるような場合を想定している。この場合には、第1秘密鍵に対して設定されている有効期限に基づく第1秘密鍵の更新タイミングにおいて、第2ネットワークスライスを用いて第1秘密鍵の更新処理が実行される。 In the first update process described above, for example, the update target key identified in step S11 is the first secret key used in the first network slice, and the network slice selected in step S12 (selected network slice) is the first secret key. It is assumed that it is a second network slice that is different from the network slice. In this case, the update processing of the first secret key is executed using the second network slice at the update timing of the first secret key based on the validity period set for the first secret key.

ここでは更新対象鍵を更新するための乱数が認証装置10から無線端末30に送信されるものとして説明したが、更新処理部12は、当該乱数に基づいて更新された秘密鍵の使用開始タイミングに関する情報(以下、使用開始タイミング情報と表記)を更に無線端末30に送信するようにしてもよい。これによれば、基地局20及び無線端末30は、この使用開始タイミング(情報)に基づいて、更新後の秘密鍵の使用を開始することができる。 Here, it is assumed that the random number for updating the update target key is transmitted from the authentication device 10 to the wireless terminal 30. Information (hereinafter referred to as use start timing information) may be further transmitted to the wireless terminal 30 . According to this, the base station 20 and the wireless terminal 30 can start using the updated secret key based on this use start timing (information).

使用開始タイミング情報は例えば更新後の秘密鍵の使用を開始する日時(時間情報)を含み、当該日時は、例えば更新対象鍵に対して設定されている有効期限(更新対象鍵に対応づけて情報保持部14に保持されている有効期限)に基づいて算出される。なお、使用開始タイミング情報に含まれる日時は、更新対象鍵に対して設定されている有効期限よりも前の日時であればよい。 The usage start timing information includes, for example, the date and time (time information) when the use of the updated private key is to start, and the date and time is, for example, the expiration date set for the update target key (information associated with the update target key). expiration date held in the holding unit 14). Note that the date and time included in the usage start timing information may be any date and time before the expiration date set for the key to be updated.

また、例えば基地局20から無線端末30に送信されるデータの各々に当該データの通し番号(通番)が付されている場合には、使用開始タイミング情報は、日時ではなく、更新後の秘密鍵の使用を開始するデータの通し番号を含むものであってもよい。 Further, for example, when each data transmitted from the base station 20 to the wireless terminal 30 is assigned a serial number (serial number) of the data, the usage start timing information is not the date and time but the updated secret key. It may contain the serial number of the data to start using.

ここでは、使用開始タイミング情報が日時またはデータの通し番号を含むものとして説明したが、基地局20及び無線端末30が更新後の秘密鍵の使用開始タイミングを判別することができるのであれば、日時及びデータの通し番号以外の情報を含む使用開始タイミング情報を用いてもよい。 Here, the usage start timing information includes the date and time or the serial number of the data, but if the base station 20 and the wireless terminal 30 can determine the usage start timing of the updated private key, the date and time and the data serial number can be determined. Usage start timing information including information other than the data serial number may be used.

ただし、例えば予め定められたタイミングで更新後の秘密鍵の使用を開始することが事前に設定されているような場合には、上記した使用開始タイミング情報が無線端末30に送信されない構成であってもよい。 However, if it is set in advance to start using the updated private key at a predetermined timing, for example, the use start timing information is not transmitted to the wireless terminal 30. good too.

更に、認証装置10において更新後の秘密鍵の有効期限を設定するような場合には、上記した乱数及び使用タイミング情報に加えて、当該有効期限が認証装置10から無線端末30に送信される構成であってもよい。 Furthermore, in the case of setting the expiration date of the private key after updating in the authentication device 10, the expiration date is transmitted from the authentication device 10 to the wireless terminal 30 in addition to the above-described random number and usage timing information. may be

ここで、上記した第1更新処理は第2ネットワークスライスを用いて第1秘密鍵を更新するような場合を想定しているが、当該第1更新処理において、第2ネットワークスライスで使用される秘密鍵(以下、第2秘密鍵と表記)を更に更新するようにしてもよい。このような第2秘密鍵の更新は当該第2秘密鍵を更新するための乱数が第2ネットワークスライスを用いて無線端末30に送信されることによって行われるが、当該乱数に加えて、使用開始タイミング情報等が無線端末30に対して送信されてもよい点については、上記した第1秘密鍵の更新と同様である。 Here, it is assumed that the above-described first update process uses the second network slice to update the first secret key. The key (hereinafter referred to as the second secret key) may be further updated. Such updating of the second secret key is performed by transmitting a random number for updating the second secret key to the wireless terminal 30 using the second network slice. Timing information and the like may be transmitted to the wireless terminal 30 as in the case of updating the first secret key described above.

一方、選択ネットワークスライスが更新対象鍵を使用するネットワークスライスと一致すると判定された場合(ステップS13のYES)、更新処理部12は、第2更新処理を実行する(ステップS15)。 On the other hand, if it is determined that the selected network slice matches the network slice that uses the update target key (YES in step S13), the update processing unit 12 executes second update processing (step S15).

ここで、第2更新処理は、例えばステップS11において特定された更新対象鍵が第2ネットワークスライスで使用される第2秘密鍵であり、ステップS12において選択されたネットワークスライスが当該第2ネットワークスライスである(つまり、第2ネットワークスライスを用いて第2秘密鍵を更新する)ような場合を想定しているが、当該第2更新処理においては、第2秘密鍵に加えて、第2秘密鍵とは異なる秘密鍵(例えば、第1秘密鍵)を更新することができる。この場合には、第2秘密鍵に対して設定されている有効期限に基づく第2秘密鍵の更新タイミングにおいて、第2ネットワークスライスを用いて第1秘密鍵の更新処理が実行される。 Here, in the second update process, for example, the update target key specified in step S11 is the second secret key used in the second network slice, and the network slice selected in step S12 is the second network slice. (that is, updating the second secret key using the second network slice), in the second update process, in addition to the second secret key, can update a different secret key (eg, the first secret key). In this case, the update process of the first secret key is executed using the second network slice at the update timing of the second secret key based on the validity period set for the second secret key.

なお、第1更新処理は第1秘密鍵の更新タイミングで当該第1秘密鍵(及び第2秘密鍵)を更新し、第2更新処理は第2秘密鍵の更新タイミングで当該第1秘密鍵(及び第2秘密鍵)を更新する点で、当該第1及び第2更新処理は異なるが、その他の点については同様であるため、ここでは第2更新処理の詳細な説明については省略する。 Note that the first update process updates the first secret key (and the second secret key) at the update timing of the first secret key, and the second update process updates the first secret key (and the second secret key) at the update timing of the second secret key. and the second secret key), but the other points are the same, so detailed description of the second update process is omitted here.

ここで、図7を参照して、本実施形態において実行される秘密鍵の更新処理の具体例について説明する。 Now, with reference to FIG. 7, a specific example of the private key update process executed in this embodiment will be described.

ここでは認証装置10(基地局20)と無線端末30との間に第1及び第2ネットワークスライスが構築されており、無線端末30は、第1及び第2ネットワークスライスの各々を用いて基地局20との無線通信を実行しているものとする。なお、図7に示す例では、基地局20から無線端末30に対して複数のデータが送信されており、当該データの各々には、通し番号(シーケンス番号)SNが付されている。 Here, first and second network slices are established between the authentication device 10 (base station 20) and the wireless terminal 30, and the wireless terminal 30 uses each of the first and second network slices to communicate with the base station. 20 is executing wireless communication. In the example shown in FIG. 7, a plurality of pieces of data are transmitted from the base station 20 to the wireless terminal 30, and a serial number (sequence number) SN is assigned to each piece of data.

また、第1ネットワークスライスを用いて基地局20から無線端末30に対して送信されるデータは例えば上記した第1秘密鍵に対応する公開鍵(以下、第1公開鍵と表記)を用いて暗号化されており、無線端末30は、当該無線端末30に含まれる情報保持部33に保持されている当該第1秘密鍵K(A,1)を用いて当該データを復号するものとする。 Data transmitted from the base station 20 to the wireless terminal 30 using the first network slice is encrypted using, for example, a public key corresponding to the first secret key (hereinafter referred to as a first public key). The wireless terminal 30 decrypts the data using the first secret key K(A, 1) held in the information holding unit 33 included in the wireless terminal 30 .

同様に、第2ネットワークスライスを用いて基地局20から無線端末30に対して送信されるデータは例えば上記した第2秘密鍵に対応する公開鍵(以下、第2公開鍵と表記)を用いて暗号化されており、無線端末30は、当該無線端末30に含まれる情報保持部33に保持されている当該第2秘密鍵K(B,1)を用いて当該データを復号するものとする。 Similarly, data transmitted from the base station 20 to the wireless terminal 30 using the second network slice uses, for example, a public key corresponding to the above-described second secret key (hereinafter referred to as a second public key). It is assumed that the data is encrypted, and the wireless terminal 30 uses the second secret key K(B, 1) held in the information holding unit 33 included in the wireless terminal 30 to decrypt the data.

ここで、例えば通し番号SNとして「109」が付されたデータが第2ネットワークスライスを用いて基地局20から無線端末30に対して送信された後、通し番号SNとして「110」が付されるデータが第2ネットワークスライスを用いて基地局20から無線端末30に対して送信される前のタイミングで、例えば第1秘密鍵K(A,1)が更新対象鍵として特定された(つまり、第1秘密鍵K(A,1)の更新タイミングが判別された)ものとする。 Here, for example, after the data with "109" as the serial number SN is transmitted from the base station 20 to the wireless terminal 30 using the second network slice, the data with "110" as the serial number SN is transmitted. At the timing before transmission from the base station 20 to the wireless terminal 30 using the second network slice, for example, the first secret key K(A, 1) is identified as the key to be updated (that is, the first secret Assume that the update timing of the key K (A, 1) has been determined).

例えば第1ネットワークスライスの許容遅延時間が50msであり、第2ネットワークスライスの許容遅延時間が1sであるものとすると、第1秘密鍵K(A,1)を更新するために用いられるネットワークスライスとして第2ネットワークスライスが選択される。 For example, assuming that the allowable delay time of the first network slice is 50 ms and the allowable delay time of the second network slice is 1 s, the network slice used to update the first secret key K(A, 1) is A second network slice is selected.

この場合、第2ネットワークスライスを用いて、第1秘密鍵K(A,1)及び第2秘密鍵(B,1)の更新処理が実行される。この更新処理においては、第1秘密鍵K(A,1)を更新するための乱数(以下、第1乱数と表記)及び第2秘密鍵K(B,1)を更新するための乱数(以下、第2乱数と表記)が認証装置10から無線端末30に対して送信され、当該第1乱数に基づいて第1秘密鍵K(A,1)が第1秘密鍵K(A,2)に更新され、当該第2乱数に基づいて第2秘密鍵K(B,1)が第2秘密鍵K(B,2)に更新される。 In this case, the second network slice is used to update the first secret key K (A, 1) and the second secret key (B, 1). In this update process, a random number for updating the first secret key K (A, 1) (hereinafter referred to as a first random number) and a random number for updating the second secret key K (B, 1) (hereinafter referred to as , a second random number) is transmitted from the authentication device 10 to the wireless terminal 30, and the first secret key K(A, 1) is converted to the first secret key K(A, 2) based on the first random number. The second secret key K(B, 1) is updated to the second secret key K(B, 2) based on the second random number.

なお、第1秘密鍵K(A,1)が第1秘密鍵(A,2)に更新される場合には、上記した第1公開鍵も同様に更新される。また、第2秘密鍵K(B,1)が第2秘密鍵(B,2)に更新される場合には、上記した第1公開鍵も同様に更新される。 Note that when the first secret key K(A, 1) is updated to the first secret key (A, 2), the first public key is similarly updated. Also, when the second secret key K(B, 1) is updated to the second secret key (B, 2), the first public key is similarly updated.

ここで、第1秘密鍵K(A,2)(つまり、更新後の第1秘密鍵)の使用開始タイミングに関する使用開始タイミング情報が第2ネットワークスライスを用いて無線端末30に送信されており、当該使用開始タイミング情報に通し番号SNが含まれている場合を想定する。この使用開始タイミング情報に含まれている通し番号SNが「150」であるものとすると、第1秘密鍵K(A,2)の使用は、図7に示すように、通し番号SNとして「150」が付されているデータが基地局20から無線端末30に送信されるタイミングで開始される。この場合、基地局20からは更新後の第1公開鍵を用いて暗号化されたデータが送信され、無線端末30は、更新後の第1秘密鍵K(A,2)を用いて当該データを復号する。 Here, the usage start timing information regarding the usage start timing of the first secret key K(A, 2) (that is, the updated first secret key) is transmitted to the wireless terminal 30 using the second network slice, Assume that the usage start timing information includes the serial number SN. Assuming that the serial number SN included in this usage start timing information is "150", the use of the first secret key K(A, 2) is as shown in FIG. It starts at the timing when the attached data is transmitted from the base station 20 to the wireless terminal 30 . In this case, data encrypted using the updated first public key is transmitted from the base station 20, and the wireless terminal 30 uses the updated first secret key K(A, 2) to encrypt the data. to decrypt.

一方、第2秘密鍵K(B,2)については例えば第2秘密鍵K(B,1)の更新処理が終了した直後から使用が開始されているが、第1秘密鍵K(A,2)と同様に、通し番号SN等(使用開始タイミング情報)に基づいて第2秘密鍵(B,2)の使用を開始してもよい。 On the other hand, the use of the second secret key K(B, 2) is started immediately after the updating process of the second secret key K(B, 1) is finished, but the first secret key K(A, 2 ), the use of the second secret key (B, 2) may be started based on the serial number SN or the like (use start timing information).

なお、ここで説明した処理は第1秘密鍵K(A,1)が更新対象鍵として特定された際に実行される第1更新処理(図6に示すステップS14の処理)に相当するが、例えば第2秘密鍵K(B,1)が更新対象鍵として特定された場合には、上記した第2更新処理(図6に示すステップS15の処理)が実行されることにより、第1秘密鍵K(A,1)及び第2秘密鍵K(B,1)をそれぞれ更新することができる。 Note that the process described here corresponds to the first update process (the process of step S14 shown in FIG. 6) executed when the first secret key K(A, 1) is specified as the key to be updated. For example, when the second secret key K(B, 1) is identified as the key to be updated, the above-described second update process (the process of step S15 shown in FIG. 6) is executed, whereby the first secret key K(A,1) and the second secret key K(B,1) can be updated respectively.

上記したように本実施形態において、認証装置10は、無線端末(無線通信装置)30との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持し、当該複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、当該第1ネットワークスライスと異なる第2ネットワークスライスを用いて無線端末30に送信する。この場合、上記した第1乱数に基づいて更新された第1秘密鍵は、認証装置10の情報保持部14に保持され、無線端末30に対して送信された使用開始タイミングに基づいて、第1ネットワークスライスを用いて実行される基地局20と無線端末30との間の無線通信に使用される。 As described above, in the present embodiment, the authentication device 10 obtains a secret key used for wireless communication performed using each of a plurality of network slices established between the wireless terminal (wireless communication device) 30 and , a first random number for updating a first secret key held for each network slice and used for wireless communication performed using the first network slice included in the plurality of network slices, and the updated Use start timing information regarding the use start timing of the first secret key is transmitted to the wireless terminal 30 using a second network slice different from the first network slice. In this case, the first secret key updated based on the above-described first random number is held in the information holding unit 14 of the authentication device 10, and based on the use start timing transmitted to the wireless terminal 30, the first It is used for wireless communication between the base station 20 and the wireless terminal 30 which is performed using network slices.

また、本実施形態において、無線端末30は、認証装置10との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持し、当該複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、第1ネットワークとは異なる第2ネットワークスライスを用いて認証装置10から受信する。この場合、上記した第1乱数に基づいて更新された第1秘密鍵は、無線端末30の情報保持部33に保持され、認証装置10から受信された使用開始タイミングに基づいて、第1ネットワークスライスを用いて実行される基地局20との無線通信に使用される。 In addition, in the present embodiment, the wireless terminal 30 holds, for each network slice, a secret key used for wireless communication performed using each of a plurality of network slices established between the wireless terminal 30 and the authentication device 10. and a first random number for updating the first secret key used in wireless communication performed using the first network slice included in the plurality of network slices and the start of use of the updated first secret key Use start timing information about timing is received from the authentication device 10 using a second network slice different from the first network. In this case, the first secret key updated based on the first random number is held in the information holding unit 33 of the wireless terminal 30, and based on the use start timing received from the authentication device 10, the first network slice is used for wireless communication with the base station 20 performed using .

本実施形態においては、上記した構成により、第1ネットワークスライスを用いて実行される無線通信に影響を及ぼす(つまり、第1ネットワークスライスに通信負荷を与える)ことなく、当該無線通信を継続した状態で、当該第1ネットワークスライスで使用される第1秘密鍵を更新することができる。換言すれば、例えば複数のネットワークスライスの接続方法及び秘密鍵の生成方法に関する技術については様々なものがあるが、本実施形態においては、認証装置10による認証処理が実行された後において複数のネットワークスライスで連携して適切な秘密鍵の運用を実現することができる。 In the present embodiment, due to the configuration described above, the state in which the wireless communication is continued without affecting the wireless communication performed using the first network slice (that is, without imposing a communication load on the first network slice). , the first secret key used in the first network slice can be updated. In other words, for example, there are various technologies related to a method for connecting a plurality of network slices and a method for generating a secret key. Appropriate private key operation can be realized by cooperating with slices.

なお、本実施形態においては、例えば第1及び第2ネットワークスライスの各々を用いて実行される無線通信において許容される遅延時間に基づいて第1秘密鍵を更新する際に使用する第2ネットワークスライスを選択するものとする。これによれば、例えば許容される遅延時間が短い第1ネットワークスライスの通信品質を低下させることなく、許容される遅延時間が長い第2ネットワークスライスを用いて第1秘密鍵を更新するようなことが可能となる。 In the present embodiment, for example, the second network slice used when updating the first secret key based on the delay time allowed in wireless communication performed using each of the first and second network slices shall be selected. According to this, for example, the first secret key can be updated using the second network slice with a long allowable delay time without degrading the communication quality of the first network slice with a short allowable delay time. becomes possible.

また、本実施形態においては、第1及び第2ネットワークスライスの各々を用いて実行される無線通信における通信量に基づいて第1秘密鍵を更新する際に使用する第2ネットワークスライスを選択する構成であってもよい。これによれば、例えば通信状況に余裕がない第1ネットワークスライスの通信品質を低下させることなく、通信状況に余裕がある第2ネットワークを用いて第1秘密鍵を更新するようなことが可能となる。 Further, in the present embodiment, the second network slice to be used when updating the first secret key is selected based on the amount of communication in wireless communication performed using each of the first and second network slices. may be According to this, for example, it is possible to update the first secret key using the second network, which has a margin in the communication situation, without degrading the communication quality of the first network slice, which has a margin in the communication situation. Become.

更に、本実施形態においては、第1乱数及び使用開始タイミング情報を無線端末30に送信する際に、第2ネットワークスライスを用いて実行される無線通信に使用される第2秘密鍵を更新するための第2乱数を、第2ネットワークスライスを用いて無線端末30に送信してもよい。この場合、第2乱数に基づいて更新された第2秘密鍵は、認証装置10の情報保持部14に保持され、第2ネットワークスライスを用いて実行される基地局20と無線端末30との無線通信に使用される。また、認証装置10から送信された第2乱数は無線端末30によって受信され、当該第2乱数に基づいて更新された第2秘密鍵は、無線端末30の情報保持部33に保持され、第2ネットワークスライスを用いて実行される基地局20との無線通信に使用される。 Furthermore, in the present embodiment, when transmitting the first random number and use start timing information to the wireless terminal 30, the second secret key used for wireless communication performed using the second network slice is updated. may be sent to wireless terminal 30 using the second network slice. In this case, the second secret key updated based on the second random number is held in the information holding unit 14 of the authentication device 10, and the wireless communication between the base station 20 and the wireless terminal 30 is performed using the second network slice. Used for communication. Also, the second random number transmitted from the authentication device 10 is received by the wireless terminal 30, and the second secret key updated based on the second random number is held in the information holding unit 33 of the wireless terminal 30, It is used for wireless communication with the base station 20 which is performed using network slices.

本実施形態においては、このような構成により、第1秘密鍵の更新時において第2秘密鍵も更新することが可能となるため、効率的な秘密鍵の更新を実現することができる。 In this embodiment, with such a configuration, it is possible to update the second secret key at the time of updating the first secret key, so that efficient updating of the secret key can be realized.

ここでは便宜的に第1及び第2秘密鍵を更新するものとして説明したが、第1及び第2ネットワークスライスを含む3つ以上のネットワークスライスが構築されている場合には、1つのネットワークスライスを用いて第1及び第2秘密鍵を含む3つ以上の秘密鍵を更新する処理が実行されても構わない。 Here, for the sake of convenience, it is explained that the first and second secret keys are updated, but when three or more network slices including the first and second network slices are constructed, one network slice is A process of updating three or more secret keys, including the first and second secret keys, may be performed using the

なお、本実施形態における第1秘密鍵の更新処理は、例えば当該第1秘密鍵に対して設定されている有効期限に基づいて判別される当該第1秘密鍵の更新タイミングに基づいて実行されてもよいし、当該第2秘密鍵に対して設定されている有効期限に基づいて判別される当該第2秘密鍵の更新タイミングに基づいて実行されてもよい。 Note that the update processing of the first secret key in this embodiment is executed based on the update timing of the first secret key determined based on the expiration date set for the first secret key, for example. Alternatively, it may be executed based on the update timing of the second secret key determined based on the expiration date set for the second secret key.

更に、本実施形態において、上記した使用開始タイミング情報には、第1秘密鍵に対して設定されている有効期限に基づいて算出される日時が含まれていてもよいし、第1ネットワークスライスを用いて実行される無線通信において送信されるデータに付されるデータの通し番号(つまり、更新された第1秘密鍵の使用を開始するデータの通し番号)が含まれていてもよい。このような使用開始タイミング情報が認証装置10から無線端末30に対して送信されることにより、更新された第1秘密鍵の使用を所望のタイミングで開始することが可能となる。 Furthermore, in the present embodiment, the usage start timing information may include a date and time calculated based on the validity period set for the first secret key, or the first network slice may be used. A data serial number attached to data transmitted in wireless communication executed using the first secret key (that is, a data serial number for starting use of the updated first secret key) may be included. By transmitting such use start timing information from the authentication device 10 to the wireless terminal 30, use of the updated first secret key can be started at a desired timing.

(第2実施形態)
次に、第2実施形態について説明する。なお、本実施形態に係る無線通信システム、認証装置及び無線端末の構成については、前述した第1実施形態と同様であるため、適宜、図1、図3及び図4等を用いて説明する。 (Second embodiment)
Next, a second embodiment will be described. Note that the configurations of the wireless communication system, the authentication device, and the wireless terminal according to this embodiment are the same as those of the first embodiment described above, so they will be described with reference to FIGS.

ここで、前述した第1実施形態においては第1及び第2ネットワークスライスを含む複数のネットワークスライスが認証装置10(基地局20)と無線端末30との間で予め構築されているものとして説明したが、無線通信システム(5G移動通信システム)においては、新たにリソースを割り当てることによって新規のネットワークスライス(以下、第3ネットワークスライスと表記)を構築することが可能である。 Here, in the first embodiment described above, it is assumed that a plurality of network slices including the first and second network slices are preconfigured between the authentication device 10 (base station 20) and the wireless terminal 30. However, in a wireless communication system (5G mobile communication system), it is possible to construct a new network slice (hereinafter referred to as a third network slice) by newly allocating resources.

前述した第1実施形態においては既に構築されている複数のネットワークスライスのうちの1つ(例えば、第2ネットワークスライス)を用いて更新対象鍵(例えば、第1秘密鍵)を更新するものとして説明したが、本実施形態においては、上記した第3ネットワークスライスが構築されるタイミングで、当該第3ネットワークスライスを用いて更新対象鍵を更新する点で、前述した第1実施形態とは異なる。 In the above-described first embodiment, the update target key (eg, first secret key) is updated using one of a plurality of network slices (eg, second network slice) that have already been constructed. However, this embodiment differs from the above-described first embodiment in that the update target key is updated using the third network slice at the timing when the third network slice is constructed.

以下、図8のフローチャートを参照して、秘密鍵を更新する際の認証装置10の処理手順の一例について説明する。ここでは、前述した第1実施形態において説明した認証処理が実行されることによって認証装置10(情報保持部14)及び無線端末30(情報保持部33)において既に秘密鍵が保持されており、基地局20及び無線端末30間で当該秘密鍵を使用した無線通信が実行されているものとする。 An example of the processing procedure of the authentication device 10 when updating the private key will be described below with reference to the flowchart of FIG. Here, the secret key is already held in the authentication device 10 (information holding unit 14) and the wireless terminal 30 (information holding unit 33) by executing the authentication processing described in the first embodiment, and the base It is assumed that wireless communication using the secret key is being performed between the station 20 and the wireless terminal 30 .

ここで、認証装置10(基地局20)と無線端末30との間に既に構築されている第1及び第2ネットワークスライスを含む複数のネットワークスライスとは異なる新規なネットワークスライスとして第3ネットワークスライスが新たに構築された場合を想定する。この場合、第3ネットワークスライスの構築を示す情報が認証装置10に対して通知され、当該認証装置10は、当該第3ネットワークスライスの構築(つまり、第3ネットワークスライスが新たに構築されたタイミングであること)を確認する(ステップS21)。 Here, the third network slice is a new network slice different from the plurality of network slices including the first and second network slices already constructed between the authentication device 10 (base station 20) and the wireless terminal 30. Assume a newly built case. In this case, information indicating the construction of the third network slice is notified to the authentication device 10, and the authentication device 10 constructs the third network slice (that is, at the timing when the third network slice is newly constructed). existence) is confirmed (step S21).

ステップS21の処理が実行されると、認証装置10に含まれる更新処理部12は、情報保持部14を参照して、更新対象鍵を特定する(ステップS22)。ステップS22においては、更新処理が実行される(つまり、秘密鍵を更新するための乱数を送信する)ことによって無線通信に影響を及ぼすことが懸念されるネットワークスライスで使用される秘密鍵が更新対象鍵として特定されるものとする。 When the process of step S21 is executed, the update processing unit 12 included in the authentication device 10 refers to the information holding unit 14 to identify the key to be updated (step S22). In step S22, the update target is the secret key used in the network slice that may affect wireless communication by executing the update process (that is, transmitting the random number for updating the secret key). shall be identified as a key.

具体的には、ステップS22においては、情報保持部14に保持されている許容遅延時間に基づいて、例えば許容遅延時間が短いネットワークスライスで使用されている秘密鍵を更新対象鍵として特定することができる。また、ステップS22においては、例えば各ネットワークスライスを用いて実行されている無線通信における現在の通信量を計測し、当該計測された現在の通信量が多いネットワークスライスで使用されている秘密鍵を更新対象鍵として特定してもよい。更に、ステップS22においては、情報保持部14に保持されている最大通信量に基づいて、例えば最大通信量が小さいネットワークスライスで使用されている秘密鍵を更新対象鍵として特定してもよい。また、ステップS22においては、現在の通信量と最大通信量との差分が小さいネットワークスライスまたは最大通信量に対する現在の通信量の割合が大きいネットワークスライスで使用されている秘密鍵を更新対象鍵として特定してもよい。 Specifically, in step S22, based on the allowable delay time held in the information holding unit 14, for example, a secret key used in a network slice with a short allowable delay time can be specified as an update target key. can. Also, in step S22, for example, the current communication traffic in wireless communication being executed using each network slice is measured, and the secret key used in the network slice with the measured current communication traffic is updated. It may be specified as a target key. Furthermore, in step S22, based on the maximum traffic volume held in the information holding unit 14, for example, a secret key used in a network slice with a small maximum traffic volume may be specified as an update target key. In step S22, the private key used in the network slice with a small difference between the current traffic and the maximum traffic or the network slice with a large ratio of the current traffic to the maximum traffic is specified as the key to be updated. You may

ステップS22の処理が実行されると、認証処理部11及び更新処理部12は、第3ネットワークスライスを用いた認証処理及び更新処理を実行する(ステップS23)。 When the processing of step S22 is executed, the authentication processing unit 11 and the update processing unit 12 execute authentication processing and update processing using the third network slice (step S23).

認証処理については詳しい説明を省略するが、前述した図2において説明した処理が実行されることによって、秘密鍵(以下、第3秘密鍵と表記)が認証装置10及び無線端末30において生成される。以下、第3ネットワークスライスを用いた基地局20及び無線端末30間の無線通信においては、このように生成された第3秘密鍵が使用される。 A detailed description of the authentication process is omitted, but a secret key (hereinafter referred to as a third secret key) is generated in the authentication device 10 and the wireless terminal 30 by executing the process described with reference to FIG. . Hereinafter, the third secret key generated in this way is used in wireless communication between the base station 20 and the wireless terminal 30 using the third network slice.

一方、更新処理においては、上記したステップS22において特定された更新対象鍵(例えば、第1秘密鍵)を更新するための乱数が認証装置10から無線端末30に対して送信され、当該乱数に基づいて更新後の秘密鍵が生成される。なお、ステップS23において実行される更新処理は、更新対象鍵の更新に第3ネットワークスライス(新規なネットワークスライス)が用いられる点以外は前述した第1実施形態において説明した通りであるため、ここではその詳しい説明を省略する。 On the other hand, in the update process, a random number for updating the update target key (for example, the first secret key) specified in step S22 is transmitted from the authentication device 10 to the wireless terminal 30, and based on the random number to generate the updated private key. Note that the update processing executed in step S23 is as described in the above-described first embodiment except that the third network slice (new network slice) is used for updating the update target key. A detailed description thereof will be omitted.

上記したように本実施形態においては、認証装置10(基地局20)と無線端末30との間に既に構築されている複数のネットワークスライス(第1及び第2ネットワークスライス)とは異なる第3ネットワークスライスが新たに構築された場合、第1乱数及び使用開始タイミング情報を、当該第3ネットワークスライスを用いて無線端末30に送信することによって、第1秘密鍵が更新される。 As described above, in the present embodiment, a third network different from the plurality of network slices (first and second network slices) already established between the authentication device 10 (base station 20) and the wireless terminal 30 When the slice is newly constructed, the first secret key is updated by transmitting the first random number and usage start timing information to the wireless terminal 30 using the third network slice.

本実施形態においては、上記した構成により、第1ネットワークスライスを用いて実行される無線通信に影響を及ぼす(つまり、通信負荷を与える)ことなく、第3ネットワークスライスが新たに構築されるタイミングで第1秘密鍵を更新することが可能となる。 In the present embodiment, with the configuration described above, at the timing when the third network slice is newly constructed, without affecting the wireless communication performed using the first network slice (that is, without imposing a communication load). It becomes possible to update the first secret key.

なお、前述した第1実施形態においては例えば第1秘密鍵を更新するために第2ネットワークスライスを用いる構成であるため、第1ネットワークスライスには通信負荷を与えないが、当該第2ネットワークスライスには通信負荷を与えることになる。一方、本実施形態においては、新たに構築された第3ネットワークスライス(つまり、基地局20と無線端末30との間の無線通信が開始されていないネットワークスライス)を用いて秘密鍵を更新する構成であるため、既に無線通信を開始しているネットワークスライスに通信負荷を与えることがない点で利点がある。 In the above-described first embodiment, for example, since the second network slice is used to update the first secret key, the communication load is not applied to the first network slice, but the second network slice gives the communication load. On the other hand, in the present embodiment, the secret key is updated using the newly constructed third network slice (that is, the network slice in which wireless communication between the base station 20 and the wireless terminal 30 has not started). Therefore, there is an advantage in that a communication load is not applied to network slices that have already started wireless communication.

本実施形態においては新たに第3ネットワークスライスが構築されるタイミングで第1秘密鍵が更新されるが、新規なネットワークスライスが構築されない場合には、前述した図6に示す処理が実行されることによって第1秘密鍵(及び第2秘密鍵)を更新する構成としてもよい。 In this embodiment, the first secret key is updated at the timing when the third network slice is newly constructed, but when the new network slice is not constructed, the above-described processing shown in FIG. 6 is executed. may be configured to update the first secret key (and the second secret key) by

なお、本実施形態において第3ネットワークスライスを用いて更新される秘密鍵(つまり、更新対象鍵)は、1つであってもよいし、複数であってもよい。具体的には、上記したように本実施形態においては基地局20と無線端末30との間の無線通信(データ通信)が開始されていないネットワークスライスを用いて秘密鍵を更新する(つまり、基地局20と無線端末30との間の無線通信に影響を及ぼすことがない)構成であるため、更新対象鍵は、認証装置10(及び基地局20)と無線端末30との間に構築されている全てのネットワークスライスの秘密鍵であってもよい。 Note that in the present embodiment, the number of private keys (that is, update target keys) that are updated using the third network slice may be one, or may be plural. Specifically, as described above, in this embodiment, the secret key is updated using a network slice in which wireless communication (data communication) between the base station 20 and the wireless terminal 30 has not started (that is, the base station wireless communication between the station 20 and the wireless terminal 30). It may also be the private keys of all network slices in the

(第3実施形態)
次に、第3実施形態について説明する。なお、本実施形態に係る無線通信システム、認証装置及び無線端末の構成については、前述した第1実施形態と同様であるため、適宜、図1、図3及び図4等を用いて説明する。 (Third embodiment)
Next, a third embodiment will be described. Note that the configurations of the wireless communication system, the authentication device, and the wireless terminal according to this embodiment are the same as those of the first embodiment described above, so they will be described with reference to FIGS.

ここで、前述した第1実施形態においては第2ネットワークスライスを用いて第1秘密鍵を更新するものとして説明したが、第2ネットワークスライスを用いて実行される無線通信に関する通信状況等によっては、当該第2ネットワークスライスを用いた第1秘密鍵の更新処理が成功しない(失敗する)場合がある。本実施形態は、例えば第1秘密鍵の更新が成功しない場合に、第2ネットワークスライスとは異なる他のネットワークスライスを再度選択して第1秘密鍵の更新処理を実行する点で、前述した第1実施形態とは異なる。 Here, in the above-described first embodiment, the second network slice is used to update the first secret key. The update processing of the first secret key using the second network slice may not succeed (fail). In the present embodiment, for example, when the update of the first secret key is not successful, another network slice different from the second network slice is selected again and the process of updating the first secret key is executed. Differs from one embodiment.

以下、図9のフローチャートを参照して、秘密鍵を更新する際の認証装置10の処理手順の一例について説明する。ここでは、前述した第1実施形態において説明した認証処理が実行されることによって認証装置10(情報保持部14)及び無線端末30(情報保持部33)において既に秘密鍵が保持されており、基地局20及び無線端末30間で当該秘密鍵を使用した無線通信が実行されているものとする。 An example of the processing procedure of the authentication device 10 when updating the private key will be described below with reference to the flowchart of FIG. 9 . Here, the secret key is already held in the authentication device 10 (information holding unit 14) and the wireless terminal 30 (information holding unit 33) by executing the authentication processing described in the first embodiment, and the base It is assumed that wireless communication using the secret key is being performed between the station 20 and the wireless terminal 30 .

まず、前述した図6に示すステップS11~S15に相当するステップS31~S35の処理が実行される。 First, the processes of steps S31 to S35 corresponding to steps S11 to S15 shown in FIG. 6 are executed.

次に、認証装置10に含まれる更新処理部12は、ステップS34またはS35の処理が実行された結果、秘密鍵(第1及び第2秘密鍵)の更新が成功したか否かを判定する(ステップS36)。なお、秘密鍵の更新処理においては前述した図2に示す認証処理と同様の処理が実行されるが、ステップS36においては、当該図2に示すような処理のシーケンスが最後まで到達しない場合に、秘密鍵の更新が成功していない(つまり、秘密鍵の更新が失敗した)と判定されるものとする。具体的には、更新処理において、例えばEAPレスポンスを無線端末30から正常に受信することができない場合には、更新対象鍵の更新が成功していないと判定されるものとする。 Next, the update processing unit 12 included in the authentication device 10 determines whether or not the private key (first and second private keys) has been successfully updated as a result of the processing of step S34 or S35 ( step S36). In the private key update process, the same process as the authentication process shown in FIG. 2 is executed. However, in step S36, if the sequence of processes shown in FIG. Assume that it is determined that the update of the private key has not succeeded (that is, the update of the private key has failed). Specifically, in the update process, if, for example, an EAP response cannot be normally received from the wireless terminal 30, it is determined that the update target key has not been successfully updated.

ステップS36において秘密鍵の更新が成功していないと判定された場合(ステップS36のNO)、更新処理部12は、ステップS32において選択されたネットワークスライス以外のネットワークスライスを再選択する(ステップS37)。 If it is determined in step S36 that the private key has not been successfully updated (NO in step S36), the update processing unit 12 reselects a network slice other than the network slice selected in step S32 (step S37). .

例えばステップS32において第2ネットワークスライスが選択されているものとすると、ステップS37においては、例えば第2ネットワークスライス(つまり、更新対象鍵の更新に失敗したネットワークスライス)以外のネットワークスライスの中から1つのネットワークスライスが選択される。 For example, assuming that the second network slice is selected in step S32, in step S37, for example, one of the network slices other than the second network slice (that is, the network slice whose update target key has failed to be updated) is selected. A network slice is selected.

ステップS37の処理が実行されると、更新処理部12は、当該ステップS37において再選択されたネットワークスライスを用いて秘密鍵の更新処理を実行する(ステップS38)。秘密鍵の更新処理については前述した第1実施形態において説明した通りであるため、ここではその詳しい説明を省略する。 When the process of step S37 is executed, the update processing unit 12 executes the secret key update process using the network slice reselected in step S37 (step S38). Since the private key update process is as described in the first embodiment, detailed description thereof will be omitted here.

なお、ステップS34またはS35において実行される第1または第2更新処理において第1及び第2秘密鍵の更新処理が実行されている場合には、ステップS37において再選択されたネットワークスライスを用いて当該第1及び第2秘密鍵の更新処理が実行されればよいが、ステップS38においては、当該再選択されたネットワークスライスで使用される秘密鍵を更に更新してもよい。 Note that when the first and second secret key update processes are executed in the first or second update process executed in step S34 or S35, the network slice reselected in step S37 is used to It is only necessary to update the first and second secret keys, but in step S38, the secret key used in the reselected network slice may be further updated.

また、図9には示されていないが、ステップS38の処理が実行されたとしても秘密鍵の更新が成功しない場合には、ステップS37に戻って処理が繰り返されてもよい。 Also, although not shown in FIG. 9, if the update of the private key is not successful even if the process of step S38 is executed, the process may be repeated by returning to step S37.

一方、ステップS36において秘密鍵の更新が成功したと判定された場合、図9に示す処理は終了される。 On the other hand, if it is determined in step S36 that the private key has been successfully updated, the process shown in FIG. 9 ends.

上記したように本実施形態においては、例えば第1秘密鍵(及び第2秘密鍵)の更新が成功しない場合、当該更新に用いられたネットワークスライス(第2ネットワークスライス)とは異なるネットワークスライス(第3ネットワークスライス)を用いて第1乱数及び使用開始タイミング情報を無線端末30に送信する。 As described above, in this embodiment, for example, if the update of the first secret key (and the second secret key) is not successful, a network slice (second network slice) different from the network slice (second network slice) used for the update is used. 3 network slice) is used to transmit the first random number and use start timing information to the wireless terminal 30 .

本実施形態においては、上記した構成により、第2ネットワークスライスを用いた第1秘密鍵の更新が失敗した場合であっても、第1ネットワークスライスを用いて実行される無線通信に影響を及ぼす(つまり、通信負荷を与える)ことなく、第3ネットワークスライスを用いて第1秘密鍵を更新することが可能となる。 In the present embodiment, due to the above configuration, even if the update of the first secret key using the second network slice fails, wireless communication performed using the first network slice is affected ( That is, it becomes possible to update the first secret key using the third network slice without imposing a communication load.

以上述べた少なくとも1つの実施形態によれば、ネットワークスライスを適切に運用することが可能な認証装置、無線通信装置、無線通信システム、方法及びプログラムを提供することができる。 According to at least one embodiment described above, it is possible to provide an authentication device, a wireless communication device, a wireless communication system, a method, and a program capable of appropriately operating network slices.

本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。 While several embodiments of the invention have been described, these embodiments have been presented by way of example and are not intended to limit the scope of the invention. These embodiments can be implemented in various other forms, and various omissions, replacements, and modifications can be made without departing from the scope of the invention. These embodiments and their modifications are included in the scope and spirit of the invention, as well as the scope of the invention described in the claims and equivalents thereof.

10…認証装置、11…認証処理部、12…更新処理部、13…通信部、14…情報保持部、20…基地局、30…無線端末(無線通信装置)、31…通信部、32…鍵生成部、33…情報保持部。 DESCRIPTION OF SYMBOLS 10... Authentication apparatus 11... Authentication process part 12... Update process part 13... Communication part 14... Information holding part 20... Base station 30... Wireless terminal (wireless communication apparatus) 31... Communication part 32... Key generation unit, 33... information holding unit.

Claims (17)

無線通信装置との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持する保持手段と、
前記複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、前記第1ネットワークスライスとは異なる第2ネットワークスライスを用いて前記無線通信装置に送信する通信手段と
を具備し、
前記第1乱数に基づいて更新された第1秘密鍵は、前記保持手段に保持され、前記使用開始タイミングに基づいて、前記第1ネットワークスライスを用いて実行される基地局と前記無線通信装置との間の無線通信に使用される
認証装置。 holding means for holding, for each network slice, a secret key used for wireless communication executed using each of a plurality of network slices constructed between a wireless communication device;
related to a first random number for updating a first secret key used in wireless communication performed using a first network slice included in the plurality of network slices and timing to start using the updated first secret key communication means for transmitting usage start timing information to the wireless communication device using a second network slice different from the first network slice;
The first secret key updated based on the first random number is held in the holding means, and the base station and the wireless communication device are executed using the first network slice based on the usage start timing. authentication device used for wireless communication between 前記通信手段は、前記第1乱数及び前記使用開始タイミング情報を前記無線通信装置に送信する際に、前記第2ネットワークスライスを用いて実行される無線通信に使用される第2秘密鍵を更新するための第2乱数を、前記第2ネットワークスライスを用いて前記無線通信装置に更に送信し、
前記第2乱数に基づいて更新された第2秘密鍵は、前記保持手段に保持され、前記第2ネットワークスライスを用いて実行される前記基地局と前記無線通信装置との間の無線通信に使用される
請求項1記載の認証装置。 The communication means updates a second secret key used for wireless communication performed using the second network slice when transmitting the first random number and the use start timing information to the wireless communication device. further transmitting a second random number for to the wireless communication device using the second network slice;
The second secret key updated based on the second random number is held in the holding means and used for wireless communication between the base station and the wireless communication device using the second network slice. The authentication device according to claim 1. 前記通信手段は、前記第1秘密鍵に対して設定されている有効期限に基づく前記第1秘密鍵の更新タイミングに基づいて、前記第1乱数及び前記使用開始タイミング情報を送信する請求項1または2記載の認証装置。 2. The communication means transmits the first random number and the start-of-use timing information based on update timing of the first secret key based on an expiration date set for the first secret key, or 3. The authentication device according to 2. 前記通信手段は、前記第2ネットワークスライスを用いて実行される無線通信に使用される第2秘密鍵に対して設定されている有効期限に基づく前記第2秘密鍵の更新タイミングに基づいて、前記第1乱数及び前記使用開始タイミング情報を送信する請求項1または2記載の認証装置。 The communication means, based on update timing of the second secret key based on an expiration date set for the second secret key used for wireless communication performed using the second network slice, 3. The authentication device according to claim 1, which transmits the first random number and the usage start timing information. 前記第1乱数及び前記使用開始タイミング情報を送信するために用いられる第2ネットワークスライスは、前記第1及び第2ネットワークスライスの各々を用いて実行される無線通信において許容される遅延時間に基づいて選択される請求項1~4のいずれか一項に記載の認証装置。 The second network slice used for transmitting the first random number and the use start timing information is based on a delay time allowed in wireless communication performed using each of the first and second network slices An authentication device according to any one of claims 1 to 4 selected. 前記第1乱数及び前記使用開始タイミング情報を送信するために用いられる第2ネットワークスライスは、前記第1及び第2ネットワークスライスの各々を用いて実行される無線通信における通信量または最大通信量に基づいて選択される請求項1~4のいずれか一項に記載の認証装置。 The second network slice used for transmitting the first random number and the use start timing information is based on the amount of communication or the maximum amount of communication in wireless communication performed using each of the first and second network slices 5. The authentication device according to any one of claims 1 to 4, wherein the authentication device is selected by 前記使用開始タイミング情報は、前記第1秘密鍵に対して設定されている有効期限に基づいて算出される日時を含む請求項1~6のいずれか一項に記載の認証装置。 The authentication device according to any one of claims 1 to 6, wherein said usage start timing information includes a date and time calculated based on an expiration date set for said first secret key. 前記第1ネットワークスライスを用いて実行される無線通信において送信されるデータの各々には当該データの通し番号が付されており、
前記使用開始タイミング情報は、前記更新された第1秘密鍵の使用を開始するデータの通し番号を含む
請求項1~6のいずれか一項に記載の認証装置。 Each piece of data transmitted in wireless communication performed using the first network slice is assigned a serial number of the data,
The authentication device according to any one of claims 1 to 6, wherein the use start timing information includes a serial number of data for starting use of the updated first secret key. 前記通信手段は、前記複数のネットワークスライスとは異なる第3ネットワークスライスが新たに構築された場合、前記第1乱数及び前記使用開始タイミング情報を、前記第2ネットワークスライスに代えて、前記第3ネットワークスライスを用いて前記無線通信装置に送信する請求項1記載の認証装置。 When a third network slice different from the plurality of network slices is newly constructed, the communication means replaces the first random number and the start-of-use timing information with the second network slice with the third network slice. 2. The authentication device according to claim 1, wherein slices are used to transmit to the wireless communication device. 前記通信手段は、前記第1秘密鍵の更新が成功しない場合、前記第1乱数及び前記使用開始タイミング情報を、前記第2ネットワークスライスとは異なる第3ネットワークスライスを用いて前記無線通信装置に送信する請求項1~8のいずれか一項に記載の認証装置。 The communication means transmits the first random number and the start-of-use timing information to the wireless communication device using a third network slice different from the second network slice when the update of the first secret key is unsuccessful. The authentication device according to any one of claims 1 to 8. 認証装置との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持する保持手段と、
前記複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、前記第1ネットワークスライスとは異なる第2ネットワークスライスを用いて前記認証装置から受信する通信手段と
を具備し、
前記第1乱数に基づいて更新された第1秘密鍵は、前記保持手段に保持され、前記使用開始タイミングに基づいて、前記第1ネットワークスライスを用いて実行される基地局との無線通信に使用される
無線通信装置。 holding means for holding, for each network slice, a private key used for wireless communication executed using each of a plurality of network slices established between the authentication device;
related to a first random number for updating a first secret key used in wireless communication performed using a first network slice included in the plurality of network slices and timing to start using the updated first secret key communication means for receiving usage start timing information from the authentication device using a second network slice different from the first network slice,
The first secret key updated based on the first random number is held in the holding means and used for wireless communication with a base station using the first network slice based on the usage start timing. wireless communication device. 前記通信手段は、前記第1乱数及び前記使用開始タイミング情報を前記認証装置から受信する際に、前記第2ネットワークスライスを用いて実行される無線通信に使用される第2秘密鍵を更新するための第2乱数を、前記第2ネットワークスライスを用いて前記認証装置から更に受信し、
前記第2乱数に基づいて更新された第2秘密鍵は、前記保持手段に保持され、前記第2ネットワークスライスを用いて実行される前記基地局との無線通信に使用される
請求項11記載の無線通信装置。 The communication means updates a second secret key used for wireless communication performed using the second network slice when receiving the first random number and the use start timing information from the authentication device. a second random number from the authenticator using the second network slice;
12. The second secret key according to claim 11, which is updated based on the second random number, is held in the holding means, and is used for wireless communication with the base station using the second network slice. wireless communication device. 認証装置と無線通信装置との間に複数のネットワークスライスが構築された無線通信システムにおいて、
前記認証装置は、
前記複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持する第1保持手段と、
前記複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、前記第1ネットワークスライスとは異なる第2ネットワークスライスを用いて前記無線通信装置に送信する第1通信手段と
を含み、
前記無線通信装置は、
前記複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持する第2保持手段と、
前記第1乱数及び前記使用開始タイミング情報を受信する第2通信手段と
を含み、
前記第1乱数に基づいて更新された第1秘密鍵は、前記第1及び第2保持手段に保持され、前記使用開始タイミングに基づいて、前記第1ネットワークスライスを用いて実行される基地局と前記無線通信装置との間の無線通信に使用される
無線通信システム。 In a wireless communication system in which multiple network slices are constructed between an authentication device and a wireless communication device,
The authentication device
a first holding means for holding, for each network slice, a private key used for wireless communication performed using each of the plurality of network slices;
related to a first random number for updating a first secret key used in wireless communication performed using a first network slice included in the plurality of network slices and timing to start using the updated first secret key a first communication means for transmitting use start timing information to the wireless communication device using a second network slice different from the first network slice;
The wireless communication device
a second holding means for holding, for each network slice, a private key used for wireless communication performed using each of the plurality of network slices;
a second communication means for receiving the first random number and the usage start timing information;
The first secret key updated based on the first random number is held in the first and second holding means, and based on the use start timing, the base station and the base station are executed using the first network slice. A wireless communication system used for wireless communication with the wireless communication device. 認証装置が実行する方法であって、
無線通信装置との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持手段に保持するステップと、
前記複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、前記第1ネットワークスライスとは異なる第2ネットワークスライスを用いて前記無線通信装置に送信するステップと
を具備し、
前記第1乱数に基づいて更新された第1秘密鍵は、前記保持手段に保持され、前記使用開始タイミングに基づいて、前記第1ネットワークスライスを用いて実行される基地局と前記無線通信装置との間の無線通信に使用される
方法。 A method performed by an authentication device, comprising:
a step of holding, in a holding means for each network slice, a private key used for wireless communication performed using each of a plurality of network slices constructed between a wireless communication device;
related to a first random number for updating a first secret key used in wireless communication performed using a first network slice included in the plurality of network slices and timing to start using the updated first secret key transmitting usage start timing information to the wireless communication device using a second network slice different from the first network slice;
The first secret key updated based on the first random number is held in the holding means, and the base station and the wireless communication device are executed using the first network slice based on the usage start timing. A method used for wireless communication between 無線通信装置が実行する方法であって、
認証装置との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持手段に保持するステップと、
前記複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、前記第1ネットワークスライスとは異なる第2ネットワークスライスを用いて前記認証装置から受信するステップと
を具備し、
前記第1乱数に基づいて更新された第1秘密鍵は、前記保持手段に保持され、前記使用開始タイミングに基づいて、前記第1ネットワークスライスを用いて実行される基地局との無線通信に使用される
方法。 A method performed by a wireless communication device, comprising:
a step of holding, in a holding means for each network slice, a secret key used for wireless communication performed using each of a plurality of network slices constructed between the authentication device;
related to a first random number for updating a first secret key used in wireless communication performed using a first network slice included in the plurality of network slices and timing to start using the updated first secret key receiving usage start timing information from the authentication device using a second network slice different from the first network slice;
The first secret key updated based on the first random number is held in the holding means and used for wireless communication with a base station using the first network slice based on the usage start timing. How to be. 認証装置のコンピュータによって実行されるプログラムであって、
前記コンピュータに、
無線通信装置との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持手段に保持するステップと、
前記複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、前記第1ネットワークスライスとは異なる第2ネットワークスライスを用いて前記無線通信装置に送信するステップと
を実行させ、
前記第1乱数に基づいて更新された第1秘密鍵は、前記保持手段に保持され、前記使用開始タイミングに基づいて、前記第1ネットワークスライスを用いて実行される基地局と前記無線通信装置との間の無線通信に使用される
プログラム。 A program executed by a computer of an authentication device,
to said computer;
a step of holding, in a holding means for each network slice, a private key used for wireless communication performed using each of a plurality of network slices constructed between a wireless communication device;
related to a first random number for updating a first secret key used in wireless communication performed using a first network slice included in the plurality of network slices and timing to start using the updated first secret key transmitting usage start timing information to the wireless communication device using a second network slice different from the first network slice;
The first secret key updated based on the first random number is held in the holding means, and the base station and the wireless communication device are executed using the first network slice based on the usage start timing. A program used for wireless communication between 無線通信装置のコンピュータによって実行されるプログラムであって、
前記コンピュータに、
認証装置との間に構築された複数のネットワークスライスの各々を用いて実行される無線通信に使用される秘密鍵を、当該ネットワークスライス毎に保持手段に保持するステップと、
前記複数のネットワークスライスに含まれる第1ネットワークスライスを用いて実行される無線通信に使用される第1秘密鍵を更新するための第1乱数及び当該更新された第1秘密鍵の使用開始タイミングに関する使用開始タイミング情報を、前記第1ネットワークスライスとは異なる第2ネットワークスライスを用いて前記認証装置から受信するステップと
を実行させ、
前記第1乱数に基づいて更新された第1秘密鍵は、前記保持手段に保持され、前記使用開始タイミングに基づいて、前記第1ネットワークスライスを用いて実行される基地局との無線通信に使用される
プログラム。 A program executed by a computer of a wireless communication device, comprising:
to said computer;
a step of holding, in a holding means for each network slice, a secret key used for wireless communication performed using each of a plurality of network slices constructed between the authentication device;
related to a first random number for updating a first secret key used in wireless communication performed using a first network slice included in the plurality of network slices and timing to start using the updated first secret key receiving usage start timing information from the authentication device using a second network slice different from the first network slice;
The first secret key updated based on the first random number is held in the holding means and used for wireless communication with a base station using the first network slice based on the usage start timing. program.
JP2021135457A 2021-08-23 2021-08-23 Authentication device, wireless communication device, wireless communication system, method and program Active JP7434225B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2021135457A JP7434225B2 (en) 2021-08-23 2021-08-23 Authentication device, wireless communication device, wireless communication system, method and program
US17/679,869 US20230054227A1 (en) 2021-08-23 2022-02-24 Authentication device, wireless communication device, wireless communication system, method, and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021135457A JP7434225B2 (en) 2021-08-23 2021-08-23 Authentication device, wireless communication device, wireless communication system, method and program

Publications (2)

Publication Number Publication Date
JP2023030369A true JP2023030369A (en) 2023-03-08
JP7434225B2 JP7434225B2 (en) 2024-02-20

Family

ID=85227626

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021135457A Active JP7434225B2 (en) 2021-08-23 2021-08-23 Authentication device, wireless communication device, wireless communication system, method and program

Country Status (2)

Country Link
US (1) US20230054227A1 (en)
JP (1) JP7434225B2 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009239376A (en) * 2008-03-26 2009-10-15 Toshiba Corp Wireless communication system
WO2017188064A1 (en) * 2016-04-27 2017-11-02 日本電気株式会社 Key derivation method, communication system, communication terminal, and communication device
WO2018135524A1 (en) * 2017-01-17 2018-07-26 日本電気株式会社 Communication system, communication terminal, amf entity, and communication method

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111465012B (en) * 2019-01-21 2021-12-10 华为技术有限公司 Communication method and related product
CN113784343B (en) * 2020-05-22 2023-06-20 华为技术有限公司 Method and apparatus for securing communications

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009239376A (en) * 2008-03-26 2009-10-15 Toshiba Corp Wireless communication system
WO2017188064A1 (en) * 2016-04-27 2017-11-02 日本電気株式会社 Key derivation method, communication system, communication terminal, and communication device
US20200329372A1 (en) * 2016-04-27 2020-10-15 Nec Corporation Key derivation method, communication system, communication terminal, and communication device
WO2018135524A1 (en) * 2017-01-17 2018-07-26 日本電気株式会社 Communication system, communication terminal, amf entity, and communication method
US20190373461A1 (en) * 2017-01-17 2019-12-05 Nec Corporation Communication system, communication terminal, amf entity, and communication method

Also Published As

Publication number Publication date
JP7434225B2 (en) 2024-02-20
US20230054227A1 (en) 2023-02-23

Similar Documents

Publication Publication Date Title
JP6803481B2 (en) How to manage communication between servers and user devices
RU2696208C1 (en) Method and device for wireless devices authentication
US8397071B2 (en) Generation method and update method of authorization key for mobile communication
US12096207B2 (en) Network access authentication method and device
KR101097709B1 (en) Authenticating access to a wireless local area network based on security value(s) associated with a cellular system
EP2721854B1 (en) Authentication server and communication device
US20110078443A1 (en) Method and system for secure communications on a managed network
EP2343917A1 (en) Method, system and device for implementing device addition in the wi-fi device to device network
CN112105021B (en) An authentication method, device and system
JP2017175624A (en) Cryptographic key generation
CN108028829A (en) For obtaining the method being initially accessed and relevant wireless device and network node to network
CN107750470B (en) Method for replacing at least one authentication parameter for authenticating a secure element and corresponding secure element
US10700854B2 (en) Resource management in a cellular network
EP3637815A1 (en) Data transmission method, and device and system related thereto
CN103763697A (en) Wireless access point multi-secret key support system and method
JP7434225B2 (en) Authentication device, wireless communication device, wireless communication system, method and program
US12199955B2 (en) System and method for performing secure key exchange
EP3847836B1 (en) Method for updating a secret data in a credential container
CN113098688B (en) AKA method and device
CN109151816B (en) A kind of network authentication method and system
EP3512229B1 (en) Network access authentication processing method and device
CN120358493A (en) Communication method and communication device
CN121357536A (en) Access verification method, device, electronic equipment and medium
CN116634430A (en) Multi-terminal independent access authentication method, system and medium based on pre-shared secret key
CN118540697A (en) A communication method and a communication device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230313

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240207

R151 Written notification of patent or utility model registration

Ref document number: 7434225

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151